Тенденции в области безопасности клиентов
Как специалист по безопасности, вы понимаете, что защита ваших клиентов и их данных имеет решающее значение. Клиенты хотят быть уверены в том, что вы, как поставщик, приняли соответствующие меры предосторожности для обеспечения безопасного цифрового опыта.
Позвольте мне войти в систему, посмотреть свои вещи и совершать транзакции, но держите других подальше от моей учетной записи, особенно мошенников. Пока вы это делаете, пожалуйста, сделайте это удобным. Кроме того, есть аспект хранения личных данных клиентов, который часто похож на золото, нефть или, может быть, литий — это ценно и может создать или разрушить бизнес. Он определяет планы организации по разработке продуктов и будущий доход. Если вы не знаете своих клиентов, то, скорее всего, создадите менее желательный продукт. Таким образом, организации стараются собирать как можно больше данных о клиентах, но после их сбора они должны быть хорошо защищены.
В нашем цифровом мире основное взаимодействие ваших клиентов с вашим брендом происходит через ваш веб-сайт или приложение. С большим количеством цифровых взаимодействий, чем когда-либо прежде, вам необходимо сделать получение доступа максимально безопасным и беспроблемным, что чаще всего требует имени пользователя и пароля. И не забывайте про регистрацию. Если это перспектива, вы захотите произвести хорошее первое впечатление. Пароли и отсутствие сигналов угроз в режиме реального времени являются угрозой безопасности #1 для организаций сегодня и являются главными целями кибератак.
Кроме того, все дело в том, чтобы сохранить конфиденциальную информацию ваших клиентов в целости и сохранности. Мы говорим о личных данных, финансовых отчетах и истории транзакций. Блокируя эти данные, вы не позволяете злоумышленникам осуществлять кражу личных данных, мошенничество и скрытый несанкционированный доступ. Цель состоит в том, чтобы предотвратить любые утечки данных или, по крайней мере, быстро выявить любые возможные проблемы безопасности. В противном случае вы понесете большие расходы.
Но это не всё. Когда вы делаете все возможное, чтобы защитить данные потребителей, вы показываете им, что вы настоящая сделка - компания, которой они могут доверять. Вы становитесь их помощником, когда дело доходит до конфиденциальности и этических норм. И это доверие имеет большое значение для повышения лояльности клиентов и репутации вашего бренда. Люди хотят вести бизнес с компаниями, которые серьезно относятся к своей конфиденциальности. По сути, просто обычная вежливость.
Да, и давайте не будем забывать о юридической стороне дела. Защита данных клиентов — это не просто хорошая идея, это закон. Вы должны соблюдать правила защиты данных, иначе вы можете столкнуться с огромными штрафами и юридическими проблемами. Таким образом, ставя защиту данных клиентов на первое место в списке приоритетов, вы не только поступаете правильно, но и снижаете основные риски для своего бизнеса.
Как профессионал в области безопасности, вы владеете ключами к защите своих потребителей и их данных; Ваша организация зависит от вас.
Два главных приоритета безопасности для клиентов
В конце концов, мы все клиенты, и у нас есть разные причины для выбора одного поставщика вместо другого. Но если мы посмотрим на это через призму безопасности, есть два основных фактора, которые мы, клиенты, обычно учитываем. Обеспечит ли этот поставщик безопасный доступ к моей учетной записи, сохраняя при этом мою личную информацию в безопасности? И будет ли этот поставщик уважать меня, не передавая мои личные данные другим?
Защитите своих клиентов
Клиенты ожидают надежной защиты своих учетных записей и личной информации. Они хотят, чтобы их личность и данные были заблокированы, защищены от подлых хакеров и несанкционированного доступа. Они жаждут душевного спокойствия, зная, что их учетные записи подкреплены строгой аутентификацией, авторизацией и бдительной защитой от любых нарушений. Все дело в том, чтобы клиенты чувствовали себя в безопасности и верили, что поставщик инвестирует в безопасность и понимает ее.
Уважайте своих клиентов
Клиенты ожидают, что их конфиденциальность будет соблюдаться в сфере цифровой безопасности. Они хотят, чтобы к ним относились как к людям с правами и предпочтениями, когда дело доходит до использования их конфиденциальных данных. Клиенты хотят прозрачности и контроля над тем, как их информация собирается, хранится и передается. Они ценят четкое информирование о правилах конфиденциальности, явные механизмы согласия и возможность управлять своими предпочтениями и разрешениями.
Примеры того, как безопасность клиентов пошла не так
Что ж, это приятно слышать, скажете вы, но можете ли вы подкрепить это несколькими примерами? Конечно, вот еще несколько недавних случаев, когда методы обеспечения безопасности и конфиденциальности крупных компаний были не совсем на должном уровне, разбитые на две категории: утечки данных и плохие методы обеспечения конфиденциальности.
Примеры утечек данных
У North Face произошла утечка данных. Более 200 000 учетных записей были вовлечены в хитрую атаку с заполнением учетных данных на их веб-сайте, раскрывая личные данные, такие как имена, истории покупок, адреса, номера телефонов, пол и записи о вознаграждениях. К счастью, информация о кредитных картах была в безопасности, но в качестве меры предосторожности North Face сбросил все пароли и дал пользователям возможность изменить свои пароли на других сайтах, чтобы быть в большей безопасности. Нет ничего лучше, чем менять замки на входной двери.
Затем T-Mobile снова оказался в затруднительном положении из-за еще одной утечки данных. На этот раз была раскрыта личная информация сотен владельцев учетных записей, включая конфиденциальные данные, такие как полные имена, адреса, номера социального страхования и многое другое. T-Mobile действовал быстро, сбросив пин-коды учетных записей, предложив бесплатный кредитный мониторинг и пообещав усилить меры безопасности.
Примеры недобросовестной практики конфиденциальности
Amazon была оштрафована на 746 миллионов евро (887 миллионов долларов) европейским органом по надзору за конфиденциальностью за нарушение законов о защите данных. Национальная комиссия Люксембурга по защите данных была недовольна соблюдением Amazon Общего регламента ЕС по защите данных (GDPR), поэтому они приказали розничному гиганту придать форму. Но не волнуйтесь, Amazon борется, отрицая любые утечки данных и воздействие на клиентов, и они планируют подать апелляцию.
Но Meta выигрывает корону, по крайней мере, пока. Meta получила астрономический штраф в размере 1,2 миллиарда евро (1,3 миллиарда долларов) от наблюдателя за конфиденциальностью ЕС за нарушение правил защиты данных. Им также было приказано прекратить передачу данных от европейских пользователей Facebook в США. Это решение может оказать огромное влияние на возможности таргетинга рекламы Meta и ее бизнес в Европе.
Эти типы нарушений безопасности и штрафов за конфиденциальность только обострились в последние несколько лет. Но давайте копнем немного глубже и разберемся в основных причинах и тактиках, лежащих в основе всего этого. Утечки данных часто происходят, когда злоумышленник проникает в системы вашей организации и может получить доступ к учетным записям клиентов и личным данным и даже установить вредоносное ПО для дальнейшей эксплуатации. Все это часть схемы программ-вымогателей. С другой стороны, нарушения конфиденциальности данных и согласия — это когда компания добровольно передает данные клиентов третьим лицам на основе финансовых стимулов. Но сначала давайте сосредоточимся на утечках данных.
Распространенные причины утечек данных
Фишинг и скомпрометированные учетные данные.
Киберпреступники заманивают ничего не подозревающих людей в свою паутину обмана, используя искусно замаскированные электронные письма или сообщения, чтобы обманом заставить их раскрыть конфиденциальную информацию. Вооружившись украденными учетными данными, эти гнусные субъекты могут проникать в системы, сеять хаос и использовать личную информацию (PII) и организационные данные. Это напоминание о том, что даже один щелчок может открыть ворота для кибератак, подчеркивая острую потребность в сигналах угроз в режиме реального времени и постоянной бдительности.
Повторно используемые и слабые пароли.
Представьте себе, если бы ключи имели очень простую конструкцию лезвия с очень небольшим количеством рисунков зубьев. Вору было бы довольно легко проникнуть в запертый дом. Именно так слабые и повторно используемые пароли могут означать катастрофу в сфере кибербезопасности. Подобно тому, как одна уязвимая дверь может поставить под угрозу безопасность всего сообщества, использование легко угадываемых или переработанных паролей подвергает людей и организации аналогичной участи. Киберпреступники охотно используют эту слабость, взламывая учетные записи, крадя конфиденциальную информацию и оставляя после себя хаос.
Избыточные и незащищенные хранилища данных.
Представьте себе сундук, полный золота, или счета и данные клиентов в нашем случае. Теперь давайте сделаем многочисленные копии этого сундука и спрячем его в разных местах, используя разные замки. Организации часто имеют центральное хранилище данных, но другие команды решают создать свой собственный репозиторий клиентов, который был бы более удобен для их операций. Таким образом, организация увеличила поверхность атаки в десять раз, а также использовала непоследовательные методы обеспечения безопасности. Унификация и защита данных ваших клиентов при одновременном удалении ненужных каталогов снизит ваши риски безопасности.
Боты и захват аккаунтов.
Одно дело отразить несколько атак, но готова ли ваша организация защищаться от постоянного автоматизированного потока атак? Вот тут-то и приходят на помощь боты. Это простые программы, ищущие слабые места в вашей системе. Как только они находят эти слабые места, они вовлекают настоящих плохих актеров, людей, которые берут это оттуда. Компании ежегодно сообщают о миллионах долларов убытков от мошенничества, и мошенники становятся все более эффективными.
Распространенные причины нарушения конфиденциальности данных и согласия
Отсутствие согласия, захвата и принудительного исполнения.
Если вы чем-то владеете, вы же не хотите, чтобы другие использовали это без вашего разрешения, верно? То же самое относится и к вашим личным данным, и компании не должны использовать их без вашего разрешения. В отсутствие надежных механизмов получения и обеспечения согласия мы, как клиенты, рискуем подвергнуть себя шквалу нежелательного сбора данных, навязчивой маркетинговой тактике и подрыву доверия.
Невозможность принудительного исполнения согласия.
Представьте себе мир, в котором обещания конфиденциальности — это всего лишь иллюзии, в лучшем случае пустые обещания. Неспособность эффективно обеспечить соблюдение согласия создает питательную среду для нарушений конфиденциальности, когда наши цифровые границы игнорируются, а наши данные используются без последствий. Это очень похоже на знаменитое бронирование автомобилей в Сайнфелде: «Вы знаете, как взять заказ на аренду автомобиля, вы просто не знаете, как сохранить бронирование».
Несанкционированный доступ к данным клиентов.
Место, с которым вы ведете бизнес, имеет ваши личные данные, но они должны ограничить доступ и обеспечить, чтобы доступ к ним имели только соответствующие сотрудники, что не всегда происходит. Это особенно актуально для крупных компаний, где, например, маркетинговая команда получает данные о клиентах и начинает использовать их для привлечения потенциальных клиентов. Но маркетинговая команда никогда не была владельцем данных и, следовательно, не должна иметь к ним доступа.
Несоблюдение международных норм.
Пункты, которые мы только что рассмотрели выше, наряду с некоторыми другими, побудили правительства разработать глобальные правила в ответ на неправомерное обращение компаний с информацией о клиентах. Наиболее важными общими правилами конфиденциальности сегодня являются GDPR Европейского Союза, Право на данные потребителей (CDR) из Австралии и Закон Калифорнии о конфиденциальности потребителей (CCPA). Правила немного отличаются, но конечная цель состоит в том, чтобы обеспечить конфиденциальность и согласие клиентов. Если компании не соблюдают требования, то штрафы, штрафы и судебные издержки бьют по их прибыли.
В частности, один нюанс, который привлек большое внимание, заключается в том, где организации фактически хранят данные, в каких регионах. Если клиент проживает в ЕС, то его данные должны храниться в ЕС, а не, например, в США или Бразилии. Это создает проблему при управлении глобальной облачной инфраструктурой, которая в настоящее время начинает требовать региональных, а иногда даже национальных хранилищ данных для соответствия нормативным требованиям.
В идеальном мире все поставщики и компании будут следовать этим правилам и передовым практикам, защищая и уважая данные и безопасность своих клиентов. Но мы знаем, что это не всегда так. Давайте кратко обсудим последствия, когда организации не следуют этим стандартам безопасности и конфиденциальности.
Во что обойдется клиентам?
Кража личных данных.
Злоумышленники могут использовать данные клиентов, чтобы выдавать себя за них и красть их личные данные. Они могут собирать свои налоговые декларации и открывать кредитные карты, оставляя клиентов с неприятными сюрпризами, такими как долги и психический стресс.
Финансовые потери.
Злоумышленники, как правило, охотятся за деньгами, и они получают доступ к учетным записям клиентов и используют их личные данные для их получения. В любом сценарии всегда есть проигравший и победитель, поэтому, если выигрывает плохой актер, то проигрывает клиент.
Непрошенная информационно-разъяснительная работа.
Этот не так плох, как два выше, но он надоедливый и раздражающий. Вы бы предпочли, чтобы другие 3-е стороны знали о вас больше, чем вы знаете о них. Почему они должны иметь доступ к вашей информации, знать ваши интересы и легко продавать вам? Они не должны, если вы не дали согласия.
Во что обойдутся организации?
Потеря доверия клиентов.
Как и в случае с человеческим взаимодействием, доверие между клиентом и организацией требует времени, но оно может быть быстро потеряно. Рост большинства компаний подпитывается постоянными клиентами и лояльностью к их бренду, что тем временем помогает привлечь потенциальных клиентов. Если доверие нарушено, то это уравнение не работает.
Снижение выручки.
Потеря доверия клиентов приводит к снижению роста, снижению доходов и снижению акционерной стоимости. Это может быть порочный круг, которым трудно управлять и обратить вспять.
Большие затраты.
Это похоже на получение неожиданного счета — это никому не нравится. Кроме того, это делает организацию менее стабильной и менее предсказуемой, снижая акционерную стоимость и влияя на итоговую прибыль.
Как защитить клиентов, их данные и их конфиденциальность
Что ж, теперь, когда мы понимаем проблему, давайте коснемся способов исправить или избежать этих проблем, обеспечив безопасность учетных записей и личных данных ваших клиентов при соблюдении их предпочтений конфиденциальности. Для этого часто требуется прочная основа управления идентификацией и доступом (IAM) и правильный набор возможностей. В частности, управление идентификацией и доступом клиентов (CIAM) позволяет предприятиям безопасно аутентифицировать, собирать и управлять идентификационными данными и данными профилей клиентов, контролируя при этом, к каким приложениям, службам и информации пользователи могут получить доступ.
Современные подходы к CIAM позволяют компаниям определять, кто их клиенты и к каким приложениям они должны иметь доступ, таким образом, чтобы это не требовало ущерба для удобства безопасности. Постоянно оценивая достоверность личности каждого клиента на протяжении всего сеанса, компании могут динамически корректировать требуемый уровень аутентификации на основе оценок рисков в режиме реального времени, чтобы сделать безопасность видимой только в случае крайней необходимости. Такой подход позволяет клиентам безопасно взаимодействовать с цифровыми ресурсами, не сталкиваясь с ненужными трениями.
Ниже мы рассмотрим несколько основных возможностей IAM. Они представлены в прогрессивной манере, основанной на зрелости практики идентификации, которую может иметь организация, но вы всегда можете комбинировать или прыгать в зависимости от приоритетов компании.
Этап 1: Безопасный вход в систему
Аутентификация без пароля. Во-первых, должна быть обеспечена безопасная аутентификация, но, к сожалению, пароли часто являются одним из слабых звеньев в инфраструктуре безопасности. Используя различные сигналы риска, аутентификация без пароля защищает ваших клиентов и укрепляет вашу общую безопасность, уменьшая зависимость от легко скомпрометированных и повторно используемых паролей, обеспечивая при этом беспрепятственный доступ к вашим приложениям.
Предотвращение мошенничества. Строгая аутентификация также предотвращает доступ злоумышленников. Вы можете продолжать использовать сигналы риска, чтобы остановить ботов и злоумышленников с помощью интегрированного решения для предотвращения мошенничества, не беспокоя законных клиентов. Он отслеживает поведение пользователей и сигналы устройств на протяжении всего пользовательского сеанса, оценивает риски и автоматически принимает решения о смягчении последствий мошенничества в режиме реального времени.
Этап 2: Безопасность данных
Защита идентификационных данных клиентов. После того, как клиент зарегистрировался и предоставил вам свои данные, вы должны хранить их в безопасности, что требует надежного хранилища данных. Разверните безопасный централизованный каталог, адаптированный к атрибутам удостоверений, что позволит вам предоставлять унифицированные профили клиентов, выводя из эксплуатации избыточные хранилища данных. Обеспечьте своим командам надлежащий доступ к данным клиентов с необходимым шифрованием.
Конфиденциальность и согласие. Получение и обеспечение соблюдения согласия может быть сложным, если его не спроектировать должным образом. Благодаря настройкам конфиденциальности и согласия, встроенным в ваше решение для управления идентификацией, ваш бизнес будет укреплять доверие клиентов и соблюдать нормативные требования, создавая при этом бесшовный цифровой опыт. При необходимости обеспечьте размещение данных региональных клиентов.
Этап 3: Безопасность в режиме реального времени
Непрерывное адаптивное доверие. После того, как клиенту был предоставлен доступ, на протяжении всего сеанса должны проводиться различные другие проверки, чтобы снизить риск вредоносной активности. Непрерывное адаптивное доверие обеспечивает подход к безопасности, основанный на принципах "Никому не доверяй". Он фокусируется на динамической оценке и адаптации уровней доверия на основе различных факторов и контекстов в режиме реального времени, вместо того, чтобы просто полагаться на брандмауэр в качестве периметра безопасности. Он использует комбинацию поведенческого анализа, оценки уязвимостей и контекстной информации для определения надежности пользователей и устройств, получающих доступ к вашим ресурсам или системам.
Взгляд за горизонт
Децентрализованная идентификация. Это новая и быстро приближающаяся концепция, которая дает клиентам возможность контролировать свою личность и личные данные. Децентрализованная идентификация возвращает контроль над идентификационными данными вашим пользователям. Он позволяет проверять удостоверения личности, документы и удостоверения личности, такие как водительские права, и выдавать цифровые учетные данные на их основе. Пользователи могут делиться своими цифровыми учетными данными с организациями, чтобы быстро и без особых усилий доказать, кто они.